基于模糊Petri网的误用入侵检测方法

第27卷第4期2007年4月
北京理工大学学报
T ransactions o f B e i j i n g I nstitute o f T echno lo gy
V o l.27N o.4
A p r.2007
文章编号：1001-0645（2007）04-0312-06
基于模糊Petri网的误用入侵检测方法
危胜军，胡昌振，孙明谦
（北京理工大学计算机网络攻防对抗技术实验室，北京100081）
摘要：提出了基于模糊P etri网的误用入侵检测方法，并将类似于神经网络的学习引入模糊P etri网，以调整攻击知识模型参数.理论分析表明，基于模糊P etri网的误用入侵检测系统具有更高的推理效率，能从环境中动态学习调整知识模型的相关参数，如阈值、权值、确信度.仿真结果表明，在大多数情况下，学习调整后的知识模型能够提高误用检测系统的检测率.
关键词：误用检测；知识表示；模糊P etri网；知识学习
中图分类号：T P393.08文献标识码：A
M et hod of M isuse intrusi on d etecti on based on fuzz y Petri nets
W E I S hen g-j un，~U Chan g-zhen，SUN M i n g-C ian
（L ab.o f C om p uter N et w ork d ef ense T echno lo gy，B e i j i n g I nstitute o f T echno lo gy，B e i j i n g100081，Ch i na）
Abstract：A m et hod o f m isuse i ntrusion detection based on f uzz y Petri nets is p ro p osed，and t he learni n g abilit y si m ilar to neural net w orks i ntroduced i nto f uzz y Petri nets to ad j ust t he p ara m eters o f attack know led g e m odel.A nal y sis i ndicated t hat，i n t he m isuse detection s y ste m based on f uzz y Petri nets，t he reasoni n g efficienc y see m ed to be i m p roved，and t he p ara m eters such as t hresho l d，w ei g hts and belief stren g t h can be learned from t he environ m ent d y na m icall y.T est results dis p la y ed t hat，under m ost circu m stances，s y ste m detection rate w as i ncreased when t he attack know led g e m odel w as ad j usted after learni n g.
K e y words：m isuse detection；know led g e re p resentation；f uzz y Petri nets；know led g e learni n g
收稿日期：20061130
基金项目：国防科技基础研究基金资助项目（20021823）
作者简介：危胜军（1975—），男，博士，讲师，E-m ail：sh j
-w!.
误用入侵检测系统中广泛采用产生式规则表示攻击知识!当知识库的规模较大时，该种知识表示方式存在推理冲突、组合爆炸等问题［1］，造成系统的推理效率较低!另一方面，攻击知识的建立依赖于专家的经验，对知识模型的调整通常只能人工进行，耗时且效果不理想!
文献［2-3］中提出基于神经网络的误用入侵检测方法，利用神经网络的并行推理能力解决推理冲突、组合爆炸等问题；利用神经网络的学习能力解决
知识调整问题!但是神经网络知识表示是一种隐式表示方法，知识模型中的参数没有特定的含义，这对知识模型的分析造成不便!
针对上述问题，作者提出基于模糊Petri网（f uzz y Petri nets，FPN）的误用入侵检测方法，并将类似于神经网络的学习功能引入FPN中!利用FPN的并行推理能力解决推理冲突、组合爆炸等问题；利用学习算法调整攻击知识模型的参数；利用FPN知识表示的显式特性，对知识模型直接分析
!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!
1基本概念
定义1将FPN 定义成一个10元组［4-5］：
（ ， ， ，i ， ，M ， h ，!，f ，!）
，其中， =｛p 1，p 2，…，p n ｝为库所的有限集合； =｛t 1，t 2，…，t m ｝为变迁的有限集合； =｛d 1，d 2，
…，d n ｝为命题的有限集合； = ， = ／；i ， I ，
是输入、输出函数，反映变迁到库所的映射；M I ［0，1］，是标志函数，给库所p 分配一个标志M （p ），为该库所对应模糊命题的真值； h I ［0，1］，对变迁t （t ）
定义一个阈值 h （t ）="；!=（ 1， 2，…， ），是规则的权值向量，反映规则中前提条件对结论的支持程度，
0 j 1，
j =1
j =1；
f I ［0，1］，给变迁赋予规则的确信度，f （t ）=#；!I ，将库所节点与命题一一对应.
定义2若存在变迁t 1，库所p i （t 1）
，但不存在变迁t 2，p （t 2），则称库所p 为初始库所；若存在变迁t 1，库所p （t 1）
，但不存在变迁t 2，p
i （t 2），则称库所p 为终止库所.2基于F P N 的入侵检测方法
基于FPN 的入侵检测原理如图1所示.首先利用专家知识建立攻击知识的初始FPN 模型，然后通过实网环境采集含有入侵信息的数据，利用学习算法对知识模型的参数进行自动调整，以提高知识模型的准确度.将调整好后的模型作为模糊推理的知识，通过模糊推理得到某攻击发生的可能性.
图1
基于FPN 的入侵检测原理
F i g .1
T heor y of i ntrus ion detection based on FPN
基于FPN 的模糊推理过程是攻击知识的FPN
模型从初始标志开始，所有满足条件的变迁按顺序并行激发的过程.该过程与基于神经网络的推理过程相似，是一种并行推理过程，避免了传统误用入侵检测（基于产生式规则推理）中的推理冲突、组合爆
炸等问题，因此具有较高的推理效率；同时，该方法中引入学习算法对初始知识的FPN 模型的参数进行动态调整，以提高知识模型的准确度，从而提高系统的入侵检测率.
2.1攻击知识的F P N 模型
攻击知识的FPN 模型有“与”和“或”两种基本形式（图2），任何复杂的知识模型都是这两种基本形式的连接组合.
图2FPN 模型的两种基本形式F i g .2
TW o ki nds of FPN m ode l
!“与”
形式对应的产生式规则为I F d 1and d 2and …and d n THEN d （#，"， 1， 2，…， n ）
；"“或”
形式对应的产生式规则为I F d 1or d 2or …or d n THEN d （#，"）.
式中：d j （j =1，
2，…，n ）是规则的模糊前提命题；d 是结论命题；#是规则的确信度；
"是规则的应用阈值； j （j =1，2
，…，n ）为权值.攻击知识的FPN 模型中，知识的#，"， j 等参数与产生式规则中的相关参数一一对应，都是以显式直观地表现出来，具有确定的意义，因此可以直接基于模型对知识进行分析.2.2模糊推理中标志值的计算模糊推理过程中变迁激发向其输出库所产生新的标志，将托肯向目标转移，直到运行结束，结束时的终止库所的标志值即为推理结果.推理过程中变
迁t （设变迁t 有n 个输入库所）
激发产生的新标志值由下式计算：
z （t ）=
f （t ）
n
j =1
［M （p j ） j ］ p j i （t ），
n
j =1［M （p j ） j ］ h （t ）0
p j i （t ），
n
j =1
［M （p j ） j ］< h （t <
n n ）.（1）对于具有多个（假设有m 个）
输入变迁的库所p ，
所有变迁同时激发后，该库所的标志值为这些变迁分别激发后产生的最大标志值，即
M （p ）=m ax ｛z （t 1），z （t 2），…，z （t m ）｝.
（2）
3
13第4期危胜军等：基于模糊P etri 网的误用入侵检测方法
2.3参数学习算法
2.3.1标志值计算和求最大运算连续函数模拟
式（1）（2）中标志值的计算和求最大运算都不是连续的，不能直接采用梯度下降法进行学习，因此需要采用连续函数模拟标志值的计算和求最大运算.文献［6］中采用了一种S 型函数模拟连续函数的方法，S 型函数的表达式如下：
$（I ）
=1／｛1+eX p ［-h （I -a ）］｝=1I a ，eX p ［-h （I -a ）］ 0
0I
a ，eX p ［-h （I -a ）］ ｛
，（3）
其中h （h 200）
为常量.采用S 型函数模拟标志值计算和求最大运算如下.
!标志值计算的连续函数模拟
设I =
7
j =1
M （P j ）I j ，a =T 1（I ），则变迁I 激
发产生的标志值为
Z （I ） f （
I ）I $（I ）=f （
I ）I ／｛1+eX p ［-h （I -T h （I ））］｝=f （I ）I I T 1（I ）
0I T 1
（I ）.
（4）"标志值求最大（m aX ）运算连续函数模拟M （P ）=m aX ｛Z （I 1），Z （I 2）｝ Z （I 1）／｛1+eX p ［-h （Z （I 1）-Z （I 2））］｝+Z （I 2）／｛1+eX p ［-h （Z （I 2）-Z （I 1））］｝=
Z （I 1）Z （I 1） Z （I 2）Z （
I 2）Z （I 1） Z （I 2 ）.
（5）
2.3.2BP 学习算法
推理中标志值的计算和求最大运算采用连续函数模拟，因此可以直接采用BP （back p ro p a g ation ）算法进行学习，学习过程针对知识模型中的每个变迁I 进行，
具体算法如下.设攻击知识的FPN 模型为7层，有b 个终止库所P 1，P 2，…，P b ，用T 个样本数据进行学习.设误差函数为
E =12 T
i =1 b
j =1［M i （P j ）-M /i （P j ）］2，（6）式中M i （P j ）和M /i （P j ）分别表示终止库所P j 的第i 个样本的实际标志值和期望标志值.
设O 为待学习的参数，O 表示权值!，
阈值R 和确信度J ；I （7）
i 是FPN 模型第7层的一个变迁，
若P （7）j E 0（I （7）i ），则显然P （7）j 是终止库所.用BP 算法计算一阶梯度为
d E
d O （7）iI =d E d （M （7）（P j ））d （M （7）
（P j ））d O （7）
iI
=S （7）
d （M （7）
（P j ））
d O （7）
iI
.
（7）
式中：S （7）=d E d （M （7）
（P j ）
）；I =1，2，…，m -1.若I （7-1）i 是FPN 模型第7-1层的一个变迁，设P （7-1）j E 0（I （7-1）i ），如果P （7-1）j
为终止库所，则一阶梯度的计算方法与第7层的计算方法相同；如
果P （7-1）j 为非终止库所，则H I （7）i E T 7，且P （7-1）j E I （I （7）i ），同时H P （7）l
E 0（I （7）i ），P （7）l 为终止库所.采用误差反向传播，7-1层的变迁的一阶梯度计算
式为
d E d O （7-1）iI
=d E
d （M （7）（P l ））d （M （7）（P l ））d （M （7-1）（P j ）） d （M （7-1）（P j ））d O （7-1）iI =S （7-1）d （M （7-1）（P j ）
）d O （7-1）
iI
.（8）
式中：S （7-1）
=S
（7）
d （M （7）
（P l ））d （M （7-1）（P j ）
），I =1，2，…，m -1.
依次对7-2，7-3，…，1层计算出d E ／d O （C ）iI ，
则各参数根据下式进行调整：
O （C ）iI （a +1）=O （C ）iI （a ）-T d E ／d O （C ）iI .
（9）式中：C =7，7-1，…，1；T 为学习速率；a 为学习的步次.针对权值I 的调整，要求I （C ）i m （
a +1）=1- m 1
I =1
I （C ）
iI （a +1），保证变迁I （C ）i
的输入弧上的权值总和为1.
3仿真实验
3.1攻击知识F P N 模型的建立作者对L and 攻击、SYN F loodi n g 攻击、端口扫描（Port S canni n g ）攻击等几种常见的攻击方式进行检测实验.这几种攻击都利用了TCP 连接建立中3次握手的漏洞.L and 攻击将TCP 连接请求报文中的源I P 地址和目的I P 地址都设置成攻击主机的I P 地址；SYN F loodi n g 攻击将TCP 连接请求报文中的源I P 地址设置成一个虚假的I P 地址；Port S canni n g 向目标主机扫描范围内的所有端口建立TCP 连接.通过对攻击特征的分析，
提取以下几个特征建立攻击知识模型：
!DA 表示TCP 包中的目的I P 地址；
4
13北京理工大学学报
第27卷
＠DP表示TCP包中的目的端口；
＠SA表示TCP包中的源I P地址；
＠A表示两个连续的TCP连接请求包达到的时间差；
＠f表示TCP连接请求的频率，即1s内对某一个I P地址建立TCP连接请求的次数
利用专家知识对一组TCP连接请求报文建立的初始攻击知识FPN模型如图3所示模型对应了3条规则，相应的内容及参数初始值如表1所示图3L and，SYN F lood i n g，Port S cann i n g攻击知识的FPN模型
F i g.3FPN know led g e m ode l of L and，SYN F lood i n g
and Port S cann i n g attack
表1攻击知识FPN模型的意义
Tab.1Ex p lanation of FPN attack know led g e m odel
规则内容
参数初始值
!" 1I F DA相同（1）and DA与SA相同（2）T~EN L and攻击可
能发生（
1）
11
=0.2，
12
=0.8
!1=0.24"1=0.96
2I F DA相同（1）and DP递增（3）and A都基本相同（4）T~EN Port S cann i n g攻击可能发生（2）21
=0.1，22=0.5，
23
=0.4
!2=0.31"2=0.96
3I F DA相同（1）and A都基本相同（4）and f非常高（5）T~EN SYN F lood i n g攻击可能发生（3）31
=0.1，32=0.3，
33
=0.6
!3=0.18"3=0.97
模型中命题
1
的真值定义为所有数据包中具
有最大数量的相同DA的数据包所占的比例；命题2
的真值定义为所有数据包中具有最大数量的DA
与SA相同的数据包所占的比例；命题
3
的真值定义为所有数据包中相邻两个数据包端口号之差为1
的所有数据包所占的比例；命题
4
的真值定义为
所有数据包中具有最大数量的相邻两个数据包到达
时间差相同的数据包所占的比例；命题
5
的真值定义为1s内对某一I P地址的TCP连接请求次数对模糊集合“非常高”的隶属度，模糊集合“非常高”的隶属函数如图4所示
图4模糊集合“非常高”的隶属函数
F i g.4M e m bersh i p f unctions o f f uzz y set“ver y lar g e”
3.2数据获取
表2为通过在实际的网络环境中模拟这3种攻击，以2s为周期采集数据包，采样时间为40m i n
表2模拟攻击产生的数据
Tab.2D ata g enerated from attack si m ulation
攻击类型（
1）（
2
）（
3
）（
4
）（
5
）（
1
）（
2
）（
3
）
0.9340.97100.9140.321100
L and
0.9410.96500.9160.492100
0.72600.8780.9630.124010 Port S cann i n g
0.76700.8650.9550.121010
0.941000.9010.913001 SYN F lood i n g
0.938000.8920.911001513
第4期危胜军等：基于模糊P etri网的误用入侵检测方法
对每个周期内捕获到的数据包提取特征并量化，得到的一组已知攻击类型的数据.数据约1000条，将数据分为两部分，一部分用于训练，另一部分用于测试.
3.3参数学习与测试结果
用训练数据对攻击知识的FPN模型进行训练（参数学习算法中的常量h=300，!=0.04），得到如表3所示的新的参数值.用测试数据对训练前和训练后的知识模型进行测试，测试结果如表4所示.表4中的数据为训练前后的知识模型在推理结束时各终止库所的标志值，即各种攻击发生的可能性. m（d1），m（d2），m（d3）分别表示Land攻击、Port S canni n g攻击、SYN F loodi n g攻击发生的可能性，其值越大表示该攻击发生的可能性越大.表5是对表4求平均后的结果.
表3知识模型训练后的各参数值
Tab.3V alue of p ara m eters i n know led g e m odel
after learni n g
规则u"#
1u11=0.1837u12=0.8163"1=0.2301#1=0.9675
2
u21=0.1124u22=0.7218
u23=0.1658
"2=0.2287#2=0.9529 3
u31=0.1115u32=0.1952
u33=0.6933
"3=0.1915#3=0.9638
表4知识模型训练前后的输出结果比较
Tab.4O ut p ut com p arison bet w een fore-learni n g and after learni n g
攻击类型
攻击发生的可能性
训练前训练后
m（d1）m（d2）m（d3）m（d1）m（d2）m（d3）0.92510.44060.51760.93290.24440.2467
L and
0.91650.43760.50530.94580.23890.2310
00.86090.422800.83380.1421 Port S cann i n g
00.85760.415600.84650.1376
00.43260.880800.11560.8773 SYN F lood i n g
00.42750.875200.11230.8801
表5模型训练前后输出结果的平均值
Tab.5A vera g e out p ut of m odel before learni n g and after learni n g
攻击类型
平均结果／%
训练前训练后
m（d1）m（d2）m（d3）m（d1）m（d2）m（d3）
L and92.343.750.693.923.122.7 Port S cann i n g086.442.1085.813.6 SYN F lood i n g042.487.6011.387.9
对表5的数据进行分析得到如下结论：
!当攻击类型为Land攻击的数据对模型进行测试时，检测为Land攻击的可能性略有提高（93%以上），误检为其他两种攻击的可能性大幅降低；
"当攻击类型为Port S canni n g攻击的数据对模型测试时，检测为Port S canni n g攻击的可能性基本保持不变（85%以上），误检为Land攻击的可能性为0，误检为SYN F loodi n g攻击的可能性大幅降低；
#当攻击类型为SYN F loodi n g攻击的数据对模型测试时，检测为SYN F loodi n g攻击的可能性略有提高（87%以上），误检为Land攻击的可能性为0，误检为Port S canni n g攻击的可能性大幅降低.
该结论说明了模型在学习后，其准确度有了大
613北京理工大学学报第27
卷
幅度提高；由于SYN F loodi n g攻击与Port S canni n g 攻击具有相近的攻击特征，将其中一种攻击误检为另一种攻击的可能性不为0，这与实际情况相符!
!结论
针对误用入侵检测系统产生式攻击知识表示方式存在的问题，作者提出了基于FPN的入侵检测方法，并将学习功能引入攻击知识的FPN模型中!基于FPN的并行推理不存在推理冲突、组合爆炸等问题，提高了误用检测系统的推理效率；学习功能能够从网络中学习调整知识模型的参数，提高了知识模型的准确度；FPN知识表示是一种显示表示方式，模型中的参数与产生式表示方式中的参数一一对应，具有特定含义，能够对知识模型直接分析!仿真实验表明，经过学习后的攻击知识模型具有更高的准确度，在一定程度上提高误用检测系统的检测率!
参考文献：
［1］王永庆.人工智能原理与方法［M］.西安：西安交通大学出版社，2002：72.
W an g Y on gg i n g.T heor y and m et hod o f artificial i nte lli-
g ence［M］.X i’an：X i’an Jiao ton g U n ivers it y P ress，
2002：72.（i n Ch i nese）［2］M oha j eran i M，M oe i n i A，K ian ie M.NF I D S：a neuro-
f uzz y i ntrus ion detection s y ste m［C］!P roceed i n
g s o f t he
10t h I EEE I nternational C onf erence on E lectron ics，C ir-
cuits and S y ste m s.B an g kok，T hailand：I EEE，2003：348
-351.
［3］S hah K，D ave N，Chavan S，et al.A da p tive neuro-f uzz y
i ntrus ion detection s y ste m［C］!I EEE I nternational C on-
f erence on I nf or m ation T echno lo gy：C od i n
g and C om p ut-
i n g（I TCC’04）.L as v e g as，U SA：I EEE C om p uter S oci-
et y，2004：70-74.
［4］Chen S M，K e J S，Chan g J F.Know led g e re p resentation us i n g f uzz y P etri nets［J］.I EEE T rans Know led g e and D a-
ta En g eeri n g，1990，2（3）：311-319.
［5］L i X iaoou，Y u W en.D y na m ic know led g e i nf erence and learn i n g under ada p tive f uzz y P etri net fra m ew ork［J］.
I EEE T ransactions on S y ste m s，M AN，and C y bernetics-
P art C：A pp lications and R eview s，2000，30（4）：442-
450.
［6］鲍培明.基于BP网络的模糊P etri网的学习能力［J］.
计算机学报，2004，27（5）：695-702.
B ao P e i m i n g.L earn i n g ca p ab ilit y i n f uzz y P etri nets based
on BP net［J］.Ch i nese Journal o f C om p uters，2004，27（5）：695-702.（i n Ch i nese）
""""""""""""""""""""""""""""""""""""""""""""""
（责任编辑：康晓伟）
（上接第298面）
!参照某型飞机噪声数据的功率谱密度，选取了合适的仿真频率上限.由这些频率点上的噪声仿真结果得到了对人的危险区域，此区域对声测试仪器的测量结果产生影响.
"设计的无线噪声测试系统配用单端天线时发射距离超过100m，经调试证明可以正常采集噪声数据，通过低功耗设计可以保证使用电池进行长时间工作.
参考文献：
［1］D e lfs J，~e ller~.A eroacoustics research i n Euro p e1996
h i g h li g hts［J］.P ro g ress o f A eros p ace S cience and T echno l-
o gy，1998（2）：145-154.
［2］唐狄毅，李文兰，乔渭阳.飞机噪声基础［M］.西安：西北工业大学出版社，1995.
T an g D i y i，L i W en lan，G iao W e i y an g.Funda m ental o f air-
craft no ise［M］.X i’an：N ort hw eatern Po l y techn ical U n i-
vers it y P ress，1995.（i n Ch i nese）
［3］M iche l U，B ars i kow B，~e lb i g J，et a1.F l y-over no ise m ea-
sure m ents on land in g a ircraft w ith a m icro p hone arra y［C］!
P roceed i n g s o f4t h A I AA／CEA S A eroacoustics C onf er-
ence.T oulouse，F rance：［s.n.］，1998：32-34.
［4］D obrz y naki W，B uchho lz~.Full-scale no ise testi n g on air-
bus land i n g g ears i n t he G er m an D utch w i nd tunne l［C］!
P roceed i n g s o f3rd A I AA／CEA S A eroacoustics C onf er-
ence.A tlanta，G eor g ia：［s.n］，1997：56-58.
［5］杜功焕，朱哲民，龚秀芬.声学基础［M］.南京：南京大学出版社，2001.
D u G on g huan，Zhu Zhe m i n，G on g X i uf en.Funda m ental o f
acoustics［M］.N an j i n g：N an j i n g U n ivers it y P ress，2001.
（i n Ch i nese）
［6］乔杰，娄文忠.基于声技术的传感器网络应用研究［C］!
2005年海峡两岸三地无线科技学术会议论文集.北京：北京理工大学出版社，2005：416-420.
G iao Jie，L ou W enzhon g.S ensor net w ork a pp lication base
on t he sound techn i g ue［C］!P roceed i n g s o f C ross S trait
T ri-re g ional R ad io S cience and W ire less T echno lo gy C on-
f erence.B e i j i n g：B e i j i n
g I nstitute o f T echno lo gy P ress，
2005：416-420.（i n Ch i nese）
（责任编辑：刘雨）
713
第4期危胜军等：基于模糊P etri网的误用入侵检测方法
基于模糊Petri网的误用入侵检测方法
作者：危胜军， 胡昌振， 孙明谦， WEI Sheng-jun， HU Chang-zhen， SUN Ming-qian
作者单位：北京理工大学,计算机网络攻防对抗技术实验室,北京,100081
刊名：
北京理工大学学报
英文刊名：TRANSACTIONS OF BEIJING INSTITUTE OF TECHNOLOGY
年，卷(期)：2007,27(4)
被引用次数：6次
1.王永庆人工智能原理与方法 2002
2.Mohajerani M;Moeini A;Kianie M NFIDS:a neuro-fuzzy intrusion detection system 2003
3.Shah K;Dave N;Chavan S Adaptive neuro-fuzzy intrusion detection system 2004
4.Chen S M;Ke J S;Chang J F Knowledge representation using fuzzy Petri nets[外文期刊] 1990(03)
5.Li Xiaoou;Yu Wen Dynamic knowledge inference and learning under adaptive fuzzy Petri net framework [外文期刊] 2000(04)
6.鲍培明基于BP网络的模糊Petri网的学习能力[期刊论文]-计算机学报 2004(05)
1.姚淑萍.胡昌振.YAO Shu-ping.HU Chang-zhen基于非平稳序列的主机负载预测及合成技术[期刊论文]-北京理工大学学报2007,27(1)
2.危胜军.胡昌振.孙明谦.WEI Shengjun.HU Changzhen.SUN Mingqian基于模糊Petri网的动态知识表示与推理方法[期刊论文]-科技导报2007,25(7)
3.危胜军.胡昌振.谭惠民模糊Petri网知识表示方法在入侵检测中的应用[期刊论文]-计算机工程2005,31(2)
4.钱玉文.王飞.孔建寿.王执铨.QIAN Yu-wen.WANG Fei.KONG Jian-shou.WANG Zhi-quan基于模糊Petri网的协同入侵检测系统[期刊论文]-南京理工大学学报（自然科学版）2008,32(6)
5.董海鹰.党建武.DONG Hai-ying.DANG Jian-wu基于框架式模糊petri网列车专家控制系统知识表示研究[期刊论文]-铁道学报2000,22(3)
6.胡昌振.部雅玲体验营销探析[期刊论文]-集团经济研究2007(25)
7.部雅玲.胡昌振以实施新企业会计准则为背景对企业积极应诉反倾销的思考[期刊论文]-集团经济研究2007(19)
8.白昊.王崑声.胡昌振.张刚.经小川.BAI Hao.WANG Kun-sheng.HU Chang-zhen.ZHANG Gang.JING Xiao-chuan基于FP-Growth算法及补偿性入侵证据的攻击意图识别[期刊论文]-北京理工大学学报2010,30(8)
9.张洪斌.危胜军.ZHANG Hong-bin.WEI Sheng-jun基于超图的并行信息采集系统任务划分方法[期刊论文]-广西师范大学学报（自然科学版）2008,26(1)
10.崔中杰.姚淑萍.孙丹鸣.Cui Zhongjie.Yao Shuping.Sun Danming基于角色的MAS故障管理模型[期刊论文]-计算机研究与发展2006,43(z1)
1.周豫苹.方建安神经模糊理论在入侵检测系统中的应用研究[期刊论文]-微电子学与计算机 2010(9)
2.王怀峰.高广耀网络入侵检测研究进展综述[期刊论文]-计算机安全 2011(12)
3.任大勇一种模糊Petri网分层的新算法[期刊论文]-计算机时代 2010(3)
4.任大勇攻击模型BBFPAN分层的新方法[期刊论文]-软件导刊 2010(2)
5.任大勇基于双枝模糊逻辑攻击模型的分层推理算法[期刊论文]-河北工程大学学报（自然科学版） 2010(2)
6.翟双灿.李玲娟.郭立玮.潘永兰基于模糊神经Petri网的网络入侵检测方法[期刊论文]-计算机光盘软件与应用。